L’Ontario s’apprête à présenter une nouvelle loi sur la protection de la vie privée – 2^e partie

Voici la deuxième partie de notre série de mises à jour concernant les nouvelles lois proposées de l’Ontario sur la protection de la vie privée. Le livre blanc publié par le gouvernement de l’Ontario le 17 juin 2021 présentait des propositions visant à :

1. instaurer une approche de la vie privée fondée sur les droits;
2. assurer une utilisation sûre et transparente de la prise de décision automatisée/des technologies d’IA;
3. améliorer le processus d’obtention du consentement; 
4. améliorer la transparence des données; 
5. protéger les enfants et les jeunes;
6. établir et maintenir un régime réglementaire plus équitable, proportionné et favorable; et
7. soutenir l’innovation en Ontario.

Dans la présente actualité, nous nous pencherons sur les propositions 4 à 7. Pour en savoir plus sur les propositions 1 à 3, veuillez consulter l’actualité juridique publiée la semaine dernière.

Résumé des propositions (4 à 7)

Transparence des données. Les propositions qui suivent ont été présentées en vue d’améliorer la transparence des données, ce qui permettrait à la fois de protéger et d’habiliter les particuliers dont les données sont visées :

• Obliger les organisations à mettre en œuvre des programmes de gestion de la protection des renseignements personnels qui comprennent des politiques, des pratiques et des procédures internes régissant la collecte, l’utilisation et la communication de renseignements personnels, à l’aide des ressources élaborées par le commissaire à l’information et à la protection de la vie privée de l’Ontario (CIPVP) (obligation qui tiendrait compte de la taille des organisations et de la nature des renseignements qu’elles recueillent); 
• Obliger les organisations à envoyer des avis aux particuliers à qui l’on demande de consentir à la collecte de leurs renseignements, lesquels avis comprendraient de l’information sur les politiques et les pratiques en matière de protection des renseignements personnels et sur les droits que la loi accorde aux particuliers en ce qui a trait au consentement et au contrôle sur les renseignements;
• Obliger les organisations à effectuer des évaluations des facteurs relatifs à la vie privée pour les activités à risque élevé.

La transparence des données est essentielle à la fois pour habiliter et protéger les particuliers qui exercent leur droit de savoir quand et comment leurs données sont utilisées. Ce n’est d’ailleurs que lorsqu’ils sauront quand et comment leurs données sont utilisées que les particuliers seront habilités à exercer leurs droits et à prendre des décisions éclairées à propos de leurs données. En d’autres mots, le gouvernement de l’Ontario cherche à établir des règles du jeu équitables entre les organisations et les particuliers, car les complexités de notre monde numérique actuel ne donnent pas véritablement la possibilité aux particuliers d’avoir leur mot à dire sur la façon dont leurs données sont utilisées. Cette approche est conforme aux tendances mondiales qui visent à fournir aux particuliers les outils dont ils ont besoin pour protéger leurs renseignements personnels.

Enfants et jeunes. Les propositions qui suivent ont été présentées en vue de protéger les enfants et les jeunes, qui font partie des groupes les plus vulnérables de l’économie numérique en Ontario :

• Obliger les organisations à introduire un âge minimum de consentement valide et une exigence explicite de consentement parental au nom d’un mineur; et
• Interdire aux organisations la surveillance ou le profilage des mineurs dans le but d’influencer leurs décisions ou leur comportement.

Des obstacles opérationnels pourraient très bien se dresser dans le cadre de la mise en œuvre de mécanismes de consentement pour les mineurs, mais le gouvernement de l’Ontario semble croire qu’une réglementation accrue est nécessaire et qu’il devrait être interdit aux organisations de profiler ces personnes vulnérables (spécialement pendant de longues périodes). En l’absence de telles restrictions, les organisations pourraient exercer, selon certains, un trop grand contrôle sur les empreintes numériques des mineurs, tant maintenant que plus tard dans leur vie. 

Régime réglementaire. Les propositions qui suivent ont été présentées en vue d’établir un régime réglementaire plus équitable, proportionné et favorable :

• Habiliter le CIPVP à élaborer des lignes directrices en matière de conformité, à délivrer des certifications aux organisations qui se conforment à la loi, à effectuer des enquêtes discrétionnaires, à émettre des ordres contraignants pour cause de non-conformité et à imposer des sanctions monétaires pouvant aller jusqu’à 10 M$ (ou 3 % du revenu global);
• Tenir compte de l’ampleur du préjudice, de la manière dont l’organisation a tenté de le prévenir ou de l’atténuer, du nombre de personnes qui ont pu être touchées, de la taille des organisations et de leur revenu global afin d’évaluer les montants des sanctions; et 
• Créer des infractions statutaires en cas d’omission de signaler une violation des mesures de sécurité ou de tenir un registre de ces violations, d’omission de conserver les renseignements faisant l’objet d’une enquête du CIPVP, d’omission de se conformer à une ordonnance de conformité du CIPVP ou d’interdiction de réidentifier des renseignements personnels, assorties de sanctions monétaires allant jusqu’à 25 M$ (ou 5 % du revenu global).

Un régime réglementaire plus robuste est certainement un prérequis pour assurer une surveillance et une application adéquates des modifications législatives proposées. La refonte du régime repose sur l’attribution au CIPVP d’un mandat plus étendu et de pouvoirs d’application plus forts, pouvant faire l’objet d’un contrôle judiciaire dans certaines circonstances. La mise en œuvre d’un programme de certification bien conçu pourrait renforcer la confiance du public dans l’économie numérique, mais il reste à voir si les sanctions monétaires envisagées seront plus ou moins efficaces que les sanctions actuelles. 

Soutenir l’innovation. Les propositions qui suivent ont été présentées en vue de soutenir l’innovation : 

• Définir « renseignements dépersonnalisés » et « renseignements anonymisés » et faire la distinction entre les deux, de façon à ce que les « renseignements dépersonnalisés » relèvent du champ d’application de la réglementation en matière de protection des renseignements personnels (pour tenir compte du risque résiduel de réidentification) et que les « renseignements anonymisés » soient exclus (encourageant ainsi l’utilisation de données anonymisées);
• Interdire la réidentification des renseignements dépersonnalisés, sous réserve des exceptions prescrites, notamment aux fins de recherche et d’innovation; et
• Obliger les organisations à mettre en œuvre des pratiques de dépersonnalisation proportionnelles aux fins auxquelles les renseignements sont dépersonnalisés et au caractère délicat des renseignements. 

Dans cette actualité, nous avons abordé les différentes façons dont la réforme proposée de la loi sur la protection de vie privée de l’Ontario favorise l’innovation. Les propositions discutées ci-dessus visent plus directement à encourager les innovateurs en apportant les clarifications et en traçant les orientations nécessaires concernant l’utilisation des renseignements dépersonnalisés et des renseignements anonymisés. Cette clarification favoriserait non seulement l’innovation, mais serait également dans l’intérêt de tous les intervenants, soit les innovateurs eux-mêmes, les personnes concernées par les données et nos organismes de réglementation.

Principales conclusions

Les propositions de l’Ontario semblent être un pas dans cette direction où les particuliers profitent d’une plus grande transparence et de la possibilité de jouer un rôle plus important dans la protection de leurs données, où les innovateurs du secteur privé prospèrent dans un régime plus clairement défini et bénéficient de la confiance accrue des consommateurs, et où les organismes de réglementation sont habilités par un régime réglementaire plus robuste.

Il reste encore du travail à faire, mais nous sommes modérément optimistes quant à la quantité et à la qualité des commentaires que le gouvernement de l’Ontario a sollicités sur son livre blanc et à la capacité des innovateurs de l’Ontario d’apporter leur contribution et de participer à l’élaboration d’une législation efficace qui servira à la fois les intérêts privés et les intérêts publics.

Une fois que la législation entrera en vigueur, il y aura probablement une période de transition de deux ans pour donner aux organisations le temps et la flexibilité de se conformer au nouveau régime. Nous incitons les lecteurs à prendre de l’avance et à procéder à l’examen de leurs politiques et procédures en matière de protection de la vie privée ainsi qu’à repérer les lacunes qu’ils devront régler lorsque les modifications entreront en vigueur.

Les auteurs aimeraient remercier Katie Helou, étudiante, pour son aide dans la préparation de cette actualité juridique.